Wie Behörden DSGVO-konform arbeiten

By | 2 minute read | January 14, 2019

Die DSGVO ist seit Mai 2018 in Kraft. Viele Schritte sind getan: Datenschutzvorschriften sind überarbeitet, Mitarbeiter im Umgang mit der neuen Verordnung geschult und weitere Maßnahmen ergriffen. Ist damit alles getan? Halten die Maßnahmen auch einem Dauer- und Regelbetrieb stand?

Eine aktuelle Umfrage von bitcom research, die auf der 4. Bitkom Privacy Konferenz im September vorgestellt wurde, zeigt jedoch, dass nur 24 % der befragten deutschen Organisationen die DSGVO tatsächlich vollständig umgesetzt haben.

Herausforderungen und Lösungsansätze

Kurz vor Inkrafttreten der DSGVO im Mai befragte das IBM Institute of Business Value mehr als 1.500 Führungskräfte zum Thema „DSGVO Readiness“. In der Studie wurden drei wesentliche Herausforderungen genannt, bei denen Technologie effizient zur DGSVO-Konformität beitragen kann.

DSGVO1. Personenbezogene Daten finden

Das Auffinden von personenbezogenen Daten, wie sie üblicherweise in Fachverfahren erhoben werden, ist eine Grundlage für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.

Viele Organisationen sind zuversichtlich, DSGVO-relevante Daten in strukturierten Datenquellen finden zu können. Die Betroffenenrechte unterscheiden jedoch nicht zwischen strukturierten und unstrukturierten Daten. Deshalb müssen personenbezogene Informationen auch in E-Mails, Office-Dateien und anderen Dokumenten auffindbar sein. Moderne Softwarelösungen wie IBM StoredIQ® können Dokumente aufspüren, die personenbezogene Daten wie Namen, Geburtsdaten, Personalausweis-Nummern enthalten.

2. Einwilligungen und Verarbeitungszweck dokumentieren

Die Verarbeitung von personenbezogenen Daten muss rechtmäßig und nachvollziehbar sein. Dazu ist unter Umständen die freiwillige und unmissverständliche Einwilligung der betroffenen Person erforderlich, die auch jederzeit widerrufen werden kann. Da diese Einwilligung über verschiedene Kommunikationskanäle (persönlich, Mobile App, Internet etc.) erteilt und entzogen werden kann, muss diese zentral verwaltet werden. Um dieses Geflecht aus Einwilligungen und Rechtsvorschriften nachweisbar zu verwalten, gibt es sog. „Einwilligungs-Verwaltungs-Systeme“.

3. Datendiebstahl erkennen und Maßnahmen einleiten

Gemäß DSGVO muss die Verletzung des Schutzes personenbezogener Daten, innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet und unter Umständen die betroffene Person informiert werden. Softwarelösungen helfen, diese Situationen zu erkennen und fristgerecht zu melden. Das IBM Security Portfolio umfasst Komponenten für Daten-Risikomanagement, Protokollierung und Analyse von Daten-Aktivitäten und DSGVO-relevante Aufbereitung der Berichte.

Datenschutz bei Cloud-Lösungen

Immer mehr Unternehmen und Behörden nutzen neben Lösungen im eigenen Rechenzentrum auch Cloud-Lösungen, bei denen die Datenverarbeitung durch Dritte in der Cloud erfolgt.

Mit der in Frankfurt installierten „IBM EU-Cloud“ gibt es seit Beginn 2018 Public-Cloud-Lösungen in Deutschland, die Kunden mehr Kontrolle und Transparenz über Daten bieten, als die DSGVO fordert. Zusätzlich sind dort auch KI- oder Analytics Services verfügbar. Kunden können somit die IBM EU-Cloud als DSGVO-konforme Plattform nutzen und gleichzeitig innovative Lösungen einsetzen.

DSGVO-Cloud-ComputingIBM hat den Cloud Code of Conduct mitinitiiert und war 2017 eines der ersten Unternehmen, das Cloud Services zertifiziert hat. Die IBM Cloud verfügt über gängige ISO- sowie über die C5-Zertifizierung in Deutschland.

Fazit

Die Kommunikation und der Informationsaustausch zwischen Bürger und Behörde, aber auch innerhalb von Behörden, wird sich durch die Digitalisierung deutlich verändern. So wird die Einführung von Bürgerkonten in Zukunft ermöglichen, die wesentlichen Informationen über einen Bürger an zentraler Stelle zu verwalten und den dazu berechtigten Stellen verfügbar zu machen. Die hier erörterten technischen Möglichkeiten leisten dabei nicht nur einen Beitrag zur kontinuierlichen Verbesserung des Datenschutzes, sondern bilden auch die Grundlage für die Weiterentwicklung digitaler Dienste.